WO2021077987A1

WO2021077987A1 - 一种安全漏洞的防御方法和设备

Info

Publication number: WO2021077987A1
Application number: PCT/CN2020/117834
Authority: WO
Inventors: 蒋武
Original assignee: 华为技术有限公司
Priority date: 2019-10-22
Filing date: 2020-09-25
Publication date: 2021-04-29
Also published as: US20220239687A1; CN112702300B; JP2022551140A; EP4027604A4; EP4027604A1; JP7299415B2; CN112702300A

Abstract

一种安全漏洞防御方法和设备，所述方法包括：漏洞管理设备获取第一网络设备的资产的资产信息，所述资产信息包括资产标识、资产型号和资产版本，所述第一网络设备位于受控网络范围内；所述漏洞管理设备基于所述资产信息中的资产型号和资产版本，获取与所述资产信息对应的漏洞信息；所述漏洞管理设备确定与所述漏洞信息对应的漏洞响应剧本playbook，所述漏洞响应playbook用于被解析后执行对所述第一网络设备的漏洞防御策略。通过执行所述方法，可以快速匹配发现网络设备中存在的安全漏洞，及时生成并执行漏洞防御策略，对网络设备进行应急防护，避免网络设备在接收漏洞补丁之前遭受攻击，影响网络运行安全。

Description

一种安全漏洞的防御方法和设备

本申请要求于2019年10月22日提交中国国家知识产权局、申请号为201911007623.0、申请名称为“一种安全漏洞的防御方法和设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络安全领域，尤其涉及一种安全漏洞的防御方法和设备。

背景技术

安全漏洞，也被称为脆弱性(Vulnerability)，是指在计算机系统安全方面的缺陷，使得计算机系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。上述缺陷包括计算机硬件、软件、以及计算机在通信协议的具体实现或安全策略方面上存在的缺陷。

为了提高网络运行的安全性，现有技术利用漏洞扫描技术对网络进行监控和扫描，及时发现网络中存在的安全漏洞。例如，漏洞扫描软件对网络中的关键网络设备进行扫描，将扫描过程中发现的网络设备存在的安全漏洞和安全配置等级等信息上报网络管理系统。网络管理系统根据接收到的扫描结果，向相应的网络设备下发安全补丁，以用于修复所述网络设备存在的漏洞。网络管理系统本身保存有安全补丁，或者网络管理系统基于漏洞型号通过网络向第三方安全补丁提供方获取安全补丁。例如，对于在应用软件中发现的安全漏洞，网络管理系统基于所述应用软件的版本从应用软件开发厂商的技术支持网站下载相应补丁等。但是，对于某些新出现的漏洞，应用软件开发厂商可能无法及时提供补丁，并且补丁的开发时间通常较长，这导致对于当前网络中漏洞的安全处置和防御会出现一个空窗期。在空窗期内网络极其容易遭受黑客攻击，从而影响了网络的安全运行。即使应用软件开发厂商加快补丁开发速度，但随着被发现后立即恶意利用的零日漏洞的不断增多，网络安全性难以保障。

发明内容

本申请实施例提供了一种安全漏洞的防御方法和设备，用于提升网络进行应急处置和防御的及时性，降低网络遭受攻击的可能性。

第一方面，提供了一种安全漏洞的防御方法。所述方法包括漏洞管理设备获取第一网络设备的资产的资产信息，所述资产信息包括资产标识、资产型号和资产版本，所述第一网络设备位于受控网络范围内；所述漏洞管理设备基于所述资产信息中的资产型号和资产版本，获取与所述资产信息对应的漏洞信息；所述漏洞管理设备确定与所述漏洞信息对应的漏洞响应剧本playbook，所述漏洞响应playbook用于被解析后执行对所述第一网络设备的漏洞防御策略。

本申请实施例利用漏洞响应playbook相对于安全补丁，开发快捷灵活的优势，提供了一种基于漏洞响应playbook的安全漏洞防御方法。具体地，漏洞管理设备根据受控网络中网络设备上资产的安全漏洞获取对应的漏洞响应playbook，并进一步根据获取的漏洞响应playbook以便于对网络设备执行漏洞防御策略。该方法用于在安全补丁可用之前，例如软件开发商或第三方安全补丁提供方未针对网络的安全漏洞发布安全补丁或有效安全策略前，通过自动化地响应对网络进行应急处置和防御，避免网络遭受攻击，提高了网络的健壮性和安全性。

在一种可能的设计中，所述获取与所述资产信息对应的漏洞信息，包括所述漏洞管理设备基于所述资产信息中所述资产型号和资产版本，在资产型号和资产版本的组合与漏洞信息的对应关系中，查找到与所述资产信息中所述资产型号和资产版本对应的漏洞信息；所述漏洞管理设备基于所述资产型号和资产版本的组合与漏洞信息的对应关系，以及所述资产信息中所述资产标识、资产型号和资产版本，确定所述资产标识和漏洞信息的对应关系。

通过基于资产型号和资产版本的匹配，确定资产标识和漏洞信息的对应关系，以便于后续确定需执行漏洞防御策略的网络设备，保证漏洞防御的准确性。

在一种可能的设计中，所述漏洞管理设备确定与所述漏洞信息对应的漏洞响应剧本playbook，包括：所述漏洞管理设备基于所述资产标识和漏洞信息的对应关系，以及所述漏洞信息和所述漏洞响应playbook的对应关系，确定所述资产信息中的所述资产标识对应的所述漏洞响应playbook；将确定出的所述漏洞响应playbook作为所述与所述漏洞信息对应的漏洞响应playbook。

在一种可能的设计中，所述漏洞管理设备解析所述漏洞响应playbook得到所述漏洞防御策略；所述漏洞管理设备基于与所述资产信息中的所述资产标识，向所述第一网络设备发送所述漏洞防御策略，以使得所述第一网络设备执行所述漏洞防御策略。

漏洞管理设备可以直接向第一网络设备发送漏洞响应playbook，由第一网络设备对漏洞响应playbook进行解析后得到漏洞防御策略并执行漏洞防御策略。这种方式漏洞管理设备省略了解析漏洞响应playbook的步骤，降低了漏洞管理设备的处理负荷，但第一网络设备需要支持解析漏洞响应playbook的功能，对第一网络设备的性能要求较高。漏洞管理设备也可以解析所述漏洞响应playbook得到所述漏洞防御策略后，向第一网络设备发送漏洞防御策略。这种方式由漏洞管理设备执行解析漏洞响应playbook的步骤，会增加漏洞管理设备的处理负荷，但第一网络设备无需支持解析漏洞响应playbook的功能，对第一网络设备的性能要求较低。在实际应用中，可以根据网络设备和漏洞管理设备的硬件条件，灵活选择上述两种方式之一。

在一种可能的设计中，所述资产信息中的所述资产标识为全局资产标识，所述全局资产标识包括所述第一网络设备的设备标识，所述全局资产标识在所述受控网络范围内是唯一的，所述向所述第一网络设备发送所述漏洞防御策略之前，所述方法还包括从所述全局资产标识中获取包括的所述第一网络设备的设备标识；所述向所述第一网络设备发送所述漏洞防御策略，具体为根据所述第一网络设备的设备标识，向所述第一网络设备发送所述漏洞防御策略。

通过在全局资产标识中携带设备标识信息，可以提高网络传输效率、节约网络资源。

在一种可能的设计中，所述漏洞管理设备解析所述漏洞响应playbook得到所述漏洞防御策略；向与所述第一网络设备相关的转发设备发送所述漏洞防御策略，以使得与所述第一网络设备相关的转发设备执行所述漏洞防御策略。

在一种可能的设计中，所述向与所述第一网络设备相关的转发设备发送所述漏洞防御策略之前，所述方法还包括所述漏洞管理设备获取所述第一网络设备的设备标识，以及所述受控网络的网络拓扑信息；所述漏洞管理设备基于所述网络拓扑信息，确定与所述第一网络设备相关的所述转发设备。

对于短期内难以进行补丁修补的网络设备的漏洞，可以通过在与所述网络设备相关的转发设备上执行漏洞防御策略，为所述网络设备隔离存在风险的数据和设备，避免所述网络设备被攻击。

在一种可能的设计中，所述漏洞管理设备获取所述第一网络设备的设备标识，具体为：所述漏洞管理设备基于所述资产信息中的所述资产标识，获取所述第一网络设备的所述设备标识，其中，所述资产标识为全局资产标识，所述全局资产标识包括所述第一网络设备的所述设备标识，并且所述全局资产标识在所述受控网络范围内是唯一的，所述漏洞管理设备基于所述全局资产标识获取所述第一网络设备的所述设备标识，或者，所述资产标识为局部资产标识，并且所述局部资产标识在所述第一网络设备内是唯一的，所述漏洞管理设备基于所述局部资产标识和所述设备标识的对应关系，获取所述第一网络设备的所述设备标识。

在一种可能的设计中，所述漏洞防御策略包括基于访问控制列表ACL的访问控制策略、基于特征串的正则过滤策略、和/或入侵防护系统IPS防护签名策略。

第二方面，提供了一种漏洞管理设备。所述设备包括第一获取单元，用于获取第一网络设备的资产的资产信息，所述资产信息包括资产标识、资产型号和资产版本，所述第一网络设备位于受控网络范围内；第二获取单元，用于基于所述资产信息中的资产型号和资产版本，获取与所述资产信息对应的漏洞信息；第一确定单元，用于确定与所述漏洞信息对应的漏洞响应剧本playbook，所述漏洞响应playbook用于被解析后执行对所述第一网络设备的漏洞防御策略。

在一种可能的设计中，所述第二获取单元获取与所述资产信息对应的漏洞信息，包括基于所述资产信息中所述资产型号和资产版本，在资产型号和资产版本的组合与漏洞信息的对应关系中，查找到与所述资产信息中所述资产型号和资产版本对应的漏洞信息；基于所述资产型号和资产版本的组合与漏洞信息的对应关系，以及所述资产信息中所述资产标识、资产型号和资产版本，确定所述资产标识和漏洞信息的对应关系。

在一种可能的设计中，所述第一确定单元确定与所述漏洞信息对应的漏洞响应剧本playbook，包括基于所述资产标识和漏洞信息的对应关系，以及所述漏洞信息和所述漏洞响应playbook的对应关系，确定所述资产信息中的所述资产标识对应的所述漏洞响应playbook；将确定出的所述漏洞响应playbook作为所述与所述漏洞信息对应的漏洞响应playbook。

在一种可能的设计中，所述设备还包括解析单元，用于解析所述漏洞响应playbook得到所述漏洞防御策略；发送单元，用于基于与所述资产信息中的所述资产标识，向所述第一网络设备发送所述漏洞防御策略，以使得所述第一网络设备执行所述漏洞防御策略。

在一种可能的设计中，所述资产信息中的所述资产标识为全局资产标识，所述全局资产标识包括所述第一网络设备的设备标识，所述全局资产标识在所述受控网络范围内是唯一的，所述发送单元向所述第一网络设备发送所述漏洞防御策略之前，所述设备还包括所述第一获取单元从所述全局资产标识中获取包括的所述第一网络设备的设备标识；所述发送单元向所述第一网络设备发送所述漏洞防御策略，具体为：根据所述第一网络设备的设备标识，向所述第一网络设备发送所述漏洞防御策略。

在一种可能的设计中，所述设备还包括解析单元，用于解析所述漏洞响应playbook得到所述漏洞防御策略；发送单元，用于向与所述第一网络设备相关的转发设备发送所述漏洞防御策略，以使得与所述第一网络设备相关的转发设备执行所述漏洞防御策略。

在一种可能的设计中，所述发送单元向与所述第一网络设备相关的转发设备发送所述漏洞防御策略之前，所述设备还包括所述第一获取单元获取所述第一网络设备的设备标识，以及所述受控网络的网络拓扑信息；第二确定单元，用于基于所述网络拓扑信息，确定与所述第一网络设备相关的所述转发设备。

在一种可能的设计中，所述第一获取单元获取所述第一网络设备的设备标识，具体为：基于所述资产信息中的所述资产标识，获取所述第一网络设备的所述设备标识，其中，所述资产标识为全局资产标识，所述全局资产标识包括所述第一网络设备的所述设备标识，并且所述全局资产标识在所述受控网络范围内是唯一的，所述第一获取单元基于所述全局资产标识获取所述第一网络设备的所述设备标识，或者，所述资产标识为局部资产标识，并且所述局部资产标识在所述第一网络设备内是唯一的，所述第一获取单元基于所述局部资产标识和所述设备标识的对应关系，获取所述第一网络设备的所述设备标识。

第三方面，提供一种漏洞管理设备，包括处理器和存储器，所述存储器用于存储计算机程序，所述处理器用于调用存储器中存储的计算机程序，执行第一方面中任意可能的设计中描述的相应方法。

第四方面，提供一种计算机可读存储介质，所述存储介质上存储有计算机程序，用于执行第一方面中任意可能的设计中描述的相应方法。

第五方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面或第一方面的任意一种可能的实现方式中所述的方法。

第六方面，本申请实施例提供了一种芯片，包括存储器和处理器，存储器用于存储计算机指令，处理器用于从存储器中调用并运行该计算机指令，以执行上述第一方面及其第一方面任意可能的实现方式中的方法。

附图说明

图1是在一种技术方案中提供的一种漏洞管理系统的结构示意图；

图2为本申请实施例提供的一种用于实现网络漏洞防御的网络系统结构示意图；

图3为本申请实施例提供的一种安全漏洞防御方法的流程示意图；

图4为本申请实施例提供的一种漏洞管理设备的结构示意图；

图5为本申请实施例提供的另一种漏洞管理设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例做出进一步地详细描述。

本申请实施例描述的应用场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员知晓，随着网络设备架构的演变和新应用场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

图1是在一种相关技术方案中提供的一种漏洞管理系统100的结构示意图，用于实现对主机的漏洞扫描和补丁修复。漏洞管理系统100包括主机设备106和漏洞管理服务器101。漏洞管理服务器101包括漏洞扫描器104和补丁管理模块102。可选地，漏洞扫描器104和补丁管理模块102由软件实现。例如漏洞扫描器是Tenable公司推出的漏洞扫描器NESSUS、或者开源扫描工具Nmap、或者Unix操作系统平台的网络工具netcat等等。例如补丁管理模块是SolarWinds公司推出的SolarWinds，或者其他网络管理方自行开发的软件模块等等。可选地，上述漏洞扫描器104和补丁管理模块102可以集成于IBM公司推出的NetView网络管理系统，或者HP公司推出的网络管理系统OpenView中。

主机设备106例如可以是智能终端、平板电脑、台式机等用户设备，也可以是企业级的网络管理设备等。

漏洞扫描器104可以通过网络监控和扫描主机设备106，发现主机设备106中存在的各种安全漏洞，如系统漏洞、安全软件漏洞、或应用软件漏洞等。漏洞扫描器104向补丁管理模块102发送所发现的主机设备106的漏洞信息。补丁管理模块102基于所述漏洞信息，确定是否存在用于修补相应漏洞的补丁信息，如果有相应的补丁信息，则向主机设备106下发。主机设备106包括修补单元108，修补单元108通过主机设备106接收的补丁信息为主机设备打补丁，修补系统漏洞。漏洞管理系统100中各设备或设备各单元之间的交互可参见图1中的步骤s105-s120。

漏洞管理系统100能够对主机设备106存在的安全漏洞进行远程监测和修补，从而在一定程度上减少了网络主机被攻击的风险。然而，一方面对于某些新出现的漏洞，由于很难及时提供补丁，采用上述方式往往无法有效地抵挡黑客攻击，由此造成网络安全问题。另一方面，在当前的网络构成中，除了对终端主机造成的不利影响，网络漏洞还会在很大范围内影响网络中的其他关键网络设备，如服务器及其软硬件、路由器、交换机和安全防火墙等，此时仅对主机系统进行安全扫描仍无法有效防范全网漏洞。

图2是本申请实施例提供的一种用于实现安全漏洞防御的网络系统的结构示意图。所述网络系统包括多台主机设备214、多台网络安全设备212、网管系统202和漏洞管理设备204。网络安全设备212例如可以是网络中具有一定安全防御能力的设备，如安全网关、防火墙、路由器、或交换机等。主机设备214和/或网络安全设备212向网管系统202发送所述设备上相关资产的资产信息，如S205所示。在一种可能的实现方式中，也可以是网络中需要进行漏洞分析和防御的其他类型的设备，向网管系统202发送所述设备上相关资产的资产信息，这可以结合实际应用场景具体确定。

可选地，所述资产包括物理资产和逻辑资产中任一个或二者。可选地，物理资产是网络中的设备或设备上的硬件或组件，逻辑资产是运行在网络中设备上的软件或由通信网络中设备所存储的信息。作为示例，物理资产包括多核CPU，或者固态驱动器(Solid State Disk，SSD)阵列，逻辑资产包括网络中防御设备上的操作系统、软件应用等。所述资产与其型号和版本相关。例如，对于同一台主机设备214，其操作系统和运行在系统上的软件应用A属于不同的资产，而运行在同一主机系统上的软件应用A和软件应用B也属于不同的资产；再例如，对于包括两个虚拟机的某主机设备214，虽然在两个所述虚拟机上分别运行相同的软件应用A，但是由于运行在不同虚拟机上的软件应用A的版本不同，则仍将上述两个不同版本的软件应用A认作不同的资产。两个主机设备214上分别运行的两个不同型号的软件应用属于不同资产，而其上分别运行的两个型号相同但版本不同的软件应用也属于不同资产。但是，如果仅按照资产型号和资产版本确定资产，则两个主机设备214上分别运行的两个相同型号的相同版本的资产是无法区分的；或者，对于包括两个虚拟机的某主机设备214，所述两个虚拟机上分别运行的同一型号、同一版本的两个资产也无法区分。为此，所述资产可以使用资产标识，以对同一型号、同一版本的多个资产进行区分。所述资产标识可以是全局资产标识，所述全局资产标识在受控网络范围内是唯一的，能够全网唯一地标识某个特定网络设备上的某个特定资产。在一种可能的实现方式中，所述全局资产标识中可以包括资产所述的网络设备的设备标识。所述资产标识也可以是局部资产标识，所述局部资产标识在某个特定网络设备，如主机设备214或网络安全设备212等的内部是唯一的，以至少保证在同一网络设备内可以唯一地标识某个特定资产。

所述资产可以用资产信息表示，所述资产信息至少包括资产标识、资产型号和资产版本，例如所述资产信息表示为<资产标识、资产型号、资产版本>。每个网络设备，如主机设备214或网络安全设备212，可以确定一个或多个需要进行安全漏洞防御的资产。所述网络设备可以向网管系统202发送需要进行安全漏洞防御的资产的资产信息。所述发送例如可以按照一定的时间周期定期执行，或者在例如满足某种条件被触发时不定期执行，如一定时间段内发现的漏洞个数满足阈值，或者命中关键漏洞列表，或者发现的漏洞总数超过预设值等。在实际应用场景中，所述网络设备可以逐个发送每个资产的资产信息，或者也可以一次发送多个资产的资产信息，以提高发送效率。当发送多个所述资产的所述资产信息时，每次发送的具体范围可以根据实际需要确定，例如，可以包括全部有必要进行漏洞检测的资产的资产信息，或者按照网管系统202预设的规则，发送与所述预设规则相符的指定资产的资产信息，或者按照资产优先级发送部分资产的资产信息等。为便于描述，这里定义每次发送的所述一个或多个资产信息构成一个资产信息组。

为了更清晰地说明，以下给出一种主机设备214单次发送的一个所述资产信息组的表示形式作为示例。在一种可能的实现方式中，主机设备214可以向所述网管系统202发送所述资产信息组，

<主机设备A-ZC1、Office 2017、V1.0>，

<主机设备A-ZC2、Office 2017、V1.1>，

<主机设备A-ZC3、Google Ghrome、V3.1.2>，

<主机设备A-ZC4、Access Client、V4.5.1>。

以上资产信息组的表示形式仅作为示例，实际应用中资产标识、资产型号和资产版本的具体实现形式和数量等可根据需要确定。例如，可以采用全网唯一的8位二进制码表示资产标识，如将“主机设备A-ZC1”替换表示为10001001，“主机设备A-ZC2”替换表示为10001010等。例如，基于资产型号和资产版本的组合建立标识符对应表，如“Office 2017、V1.0”对应标识符1001，“Office 2017、V1.1”对应标识符1010，则上述资产信息组中的<主机系统A-ZC1、Office 2017、V1.0>可表示为<10001001、1001>，<主机系统A-ZC2、Office 2017、V1.1>可表示为<10001010、1010>，以此可以节约发送资产信息组数据所需的带宽资源。需要说明的是，无论采用哪种具体的资产信息组的表达形式，需保证接收相应资产信息的网管系统202或其他可能的系统理解相应的解析规则。

如图2中的S205所示，网管系统202接收到主机设备214发送的所述资产信息组。对于所述资产信息组中的一个或多个资产信息包括局部资产标识，或者包括不含设备标识的全局资产标识的情形，网管系统202确定分别与所述一个或多个资产信息对应的主机设备214的设备标识。对于一个或多个资产信息包括全局资产标识，并且所述全局资产标识包括主机设备214的设备标识的情形，网管系统202可以从所述全局资产标识中获取设备标识，无需根据其他信息为所述一个或多个资产信息确定设备标识。在一种可能的实现方式中，网管系统202还确定主机设备214的网络拓扑信息，所述网络拓扑信息为与主机设备214相关的其他网络设备的地址信息和/或路径信息等，所述其他网络设备例如可以是与主机设备214相关的转发设备，如网管防火墙、路由器和交换机等网络安全设备212，以用于后续直接向与主机设备相关的网络安全设备212发送漏洞应急防御策略，至少保证主机设备212在安装漏洞补丁前的使用安全。所述网络拓扑信息可以通过网管系统202自动获取，也可以由网络管理员在接收到所述资产信息组后手动配置。如S210所示，网管系统202向漏洞管理设备204发送主机设备214的所述资产信息组以及对应的所述网络拓扑信息和/或设备标识。可选地，网管系统202通过拓扑发现机制生成网络拓扑信息。

作为漏洞管理对象的网络设备包括主机设备214和网络安全设备212。以上实现方式仅用主机设备214作为示例，但可以理解的，网络安全设备212也可以采用类似地方式向漏洞管理设备204发送网络安全设备212的资产信息组以及对应的所述网络拓扑信息和/或设备标识。在一些可能的实现方式中，发送所述资产信息组的主机设备214或网络安全设备212的设备标识可以由所述主机设备214或网络安全设备212自身携带并发送给网管系统202；或者，由网管系统202根据发送所述资产信息组的主机设备214或网络安全设备212的相关信息，在本地确定相应的设备标识。在一种可能的实现方式中，网络中的其他设备向网管系统202发送所述网络设备的资产的资产信息，例如，对于主机设备214，与主机设备214相关的转发设备，如用于防护主机设备214的网关防火墙，或者用于为主机设备214转发数据的路由器、交换机等，有时也可以通过读取和分析需向主机设备214发送的数据报文等，发现主机设备214上的资产信息，在上述情形下，由网关防火墙或者路由器、交换机为例的其他设备向网管系统202发送主机设备214的资产信息。在其他设备在发送资产信息时，可以一并发送主机设备214的设备标识，以标识所述资产信息属于主机设备214上的资产。在一种可能的实现方式中，为节约带宽和提高传输效率，网管系统202还可以将整个网络的网络拓扑信息发送给漏洞管理设备204，使得漏洞管理设备204能够根据与所述资产信息组关联的所述设备标识，以及所述整个网络的网络拓扑信息，确定需要执行漏洞防御策略的与主机设备214对应的转发设备212。对于网管系统202将整个网络的网络拓扑信息发送给漏洞管理设备204的情形，网管系统202可以定期或不定期地为漏洞管理设备204更新网络拓扑信息，以保证基于网络拓扑信息执行漏洞防御策略的有效性和可靠性。所述更新可以是对于整个网络的拓扑信息的全部或部分更新。

漏洞管理设备204包括资产和漏洞对应库206、漏洞响应剧本(英文：playbook)单元208、分析和防御单元210。资产和漏洞对应库206用于保存资产和漏洞的对应关系，所述对应关系可以是一对一的关系，也可以是一对多的关系，即一个资产可以包括多个漏洞。资产与漏洞的对应关系可以通过所述资产的资产信息中的<资产型号、资产版本>进行唯一索引，即具有相同资产版本和资产型号的资产，其与漏洞的对应关系也是相同的。以下给出一种可能的资产和漏洞对应关系的表示形式。

<Office 2017、V1.0——漏洞1，漏洞2，漏洞3>，

<Office 2017、V1.1——漏洞4，漏洞5>，

<Google Ghrome、V3.1.2——漏洞6，漏洞7>，

<Access Client、V4.5.1——漏洞8>。

上述表示形式中，相同资产的不同漏洞具有不同的ID编号，如资产<Office 2017、V1.0>中的漏洞1、漏洞2和漏洞3的ID编号不同；考虑有时即使漏洞型号相同，在不同资产中针对相同漏洞型号的处置方式也未必相同，因此在一种可能的实现方式中，不同资产的相同漏洞也具有不同的漏洞标识，如即使漏洞1和漏洞4具有相同的型号，但由于其分别属于不同的资产，则也具有不同的漏洞标识，以此可以方便资产漏洞的管理。在另一种可能的实现方式中，在分别对应于不同资产的多个漏洞实际相同的情形下，如果能够确认用于防御所述多个漏洞的漏洞防御策略也相同时，可以为所述多个漏洞赋予相同的漏洞标识，以节约存储资源。

在其他可能的实现方式中，也可以根据需要定义资产和漏洞对应关系的其他表示形式。例如，与所述资产信息组的表示形式对应地，也可以将<Office 2017、V1.0——漏洞1，漏洞2，漏洞3>表示为<1001——漏洞1，漏洞2，漏洞3>，或者将<Office 2017、V1.0——漏洞1，漏洞2，漏洞3>拆分为<Office 2017、V1.0——漏洞1>、<Office 2017、V1.0——漏洞2>和<Office 2017、V1.0——漏洞3>，或者可以将漏洞也按照某种预先定义的规则进行编号等。具体表达方式可以结合实际需求和场景自行定义。

在一种可能的实现方式中，<资产型号、资产版本>和漏洞的对应关系可以由软件产品生产商、硬件产品制造商或者安全漏洞管理商等第三方发布，然后由漏洞管理设备204接收或下载，并保存在本地的资产和漏洞对应库206中。在另一种可能的实现方式中，由所述第三方发布针对资产的漏洞提示信息，漏洞管理设备204接收到所述漏洞提示信息后，建立相应资产与漏洞之间的对应关系，并保存在本地的漏洞对应库206。在其他可能的实现方式中，资产和漏洞对应库206可以不存储在漏洞管理设备204中，而是设置在其他设备或云端，供漏洞管理设备204直接调用或临时下载，由此提高漏洞管理设备204的使用灵活性和实时性。

漏洞响应playbook单元208用于保存针对漏洞的漏洞响应Playbook。playbook是一种用于管理网络中网元的配置、部署和编排的语言，可以利用该语言为一个或多个网元编排一系列具有逻辑性的操作，供所述一个或多个网元解析并执行。编排管理员能够编排一套用于指导一个或多个网元设备执行一系列特定操作的playbook，例如按照playbook执行与安全防御相关的一系列动作等。playbook可以使得编排管理员聚焦于编排操作的逻辑本身，而隐藏了连接各个系统的编程接口及其指令实现。通过能够支撑playbook脚本语言解析的解析引擎实现具体可编程指令和相应系统的对接及执行。与漏洞对应的应急响应 playbook，即针对漏洞所编排制定的一套应急响应动作的playbook脚本，用于在必要阶段先执行相应的应急防御策略，以避免在空窗期内出现针对所述漏洞的恶意攻击。所述必要阶段例如可以是发现漏洞但未发布补丁之前，或者漏洞补丁不足以应对新的攻击方式，需要进行补丁升级，或者在非常时期或者非常情形下需要提高漏洞防御等级等。以上列举的情形仅作为示例，具体在何种场景下启动playbook漏洞防御策略可根据需要设定。

具体的应急防御策略可以结合实际应用场景选择和设计，例如执行访问控制列表(英文：Access Control List，ACL)访问控制策略、基于特征串的正则过滤策略、和/或入侵防护系统(英文：Intrusion Prevention System，IPS)防护签名策略等。采用ACL访问控制策略可以向路由器接口等发放指令列表，以指示路由器对数据包执行接受或拒绝操作。在应急防护状态下，例如可以利用ACL指令列表限制路由器仅接受可信任的数据包，以此保证路由器不受恶意数据包的威胁。采用基于特征串的正则过滤策略，则可以通过与设定的控制字符串的匹配，保障例如用户终端、网关防火墙等的安全性。例如，可以预先设置用于表征非法的域名系统(英文：Domain Name System，DNS)的特征字符串，以此过滤掉潜在非法用户对系统的访问和攻击等。IPS防护签名策略主要基于已搜集的历史漏洞信息和攻击特征等，建立和维护特征行为分类过滤器，例如网关防火墙等通过对流经的网络流量进行分类和检查，利用分类过滤器检测并阻断入侵行为，诸如应用漏洞攻击、木马、间谍软件、可疑网络操作(远程控制、广告插件等)等。

漏洞响应playbook单元208保存资产的漏洞与playbook之间的对应关系，在一种可能的实现方式中，所述漏洞与playbook的对应关系可以是一对一的关系，漏洞与playbook的对应关系可以通过<资产型号、资产版本、漏洞标识>进行唯一索引，即对于同一资产的同一漏洞标识，其与playbook的对应关系也是相同的。以下给出一种可能的漏洞和playbook对应关系的表示形式。

<Office 2017、V1.0、漏洞1——playbook 1>，

<Office 2017、V1.0、漏洞2——playbook 2>，

<Office 2017、V1.0、漏洞3——playbook 3>，

<Office 2017、V1.1、漏洞4——playbook 4>，

……，

<Access Client、V4.5.1、漏洞8——playbook 8>。

在另一种可能的实现方式中，当确认针对多个不同的漏洞标识所编排的playbook脚本实质相同时，可以考虑将所述多个不同的漏洞标识与同一playbook相对应，即多个不同资产的多个漏洞与playbook的对应关系有时可以是多对一的关系，以节约存储资源。

在一种可能的实现方式中，与漏洞对应的playbook可以由所述第三方发布，因而漏洞响应playbook单元208也可以不在漏洞管理设备204中，而是设置在其他设备或云端，供漏洞管理设备204直接调用或临时下载。

如前所描述的，资产的资产信息可以表示为<资产标识、资产型号、资产版本>，如S215所示，分析和防御单元210可以基于所述资产信息中的<资产型号、资产版本>，以及资产和漏洞对应关系<资产型号、资产版本、漏洞标识>，分析并建立资产标识和漏洞标识之间的对应关系，例如<资产标识、资产型号、资产版本、漏洞标识>，或者仅匹配并建立<资产标识、漏洞标识>的对应关系。当所述资产标识为包括设备标识的全局资产标识时，分析和防御单元210可以直接基于所述资产标识确定资产所述的网络设备，并建立所述网络设备上的特定资产和漏洞标识之间的对应关系；当所述资产标识为局部资产标识或不包括设备标识的全局资产标识时，分析和防御单元210还需要确定与包括所述资产标识的所述资产信息对应的设备标识，由此确定一个网络设备上的特定资产和漏洞标识之间的对应关系。

分析和防御单元210还可以获取发送所述资产的资产信息的主机设备214或网络安全设备212的网络拓扑信息，以确定与主机设备214或网络安全设备212相关的转发设备。分析和防御单元210通过所述漏洞标识可以获得用于应急处置和防御漏洞的playbook脚本。如S220所示，分析和防御单元210对确定的所述playbook脚本进行解析，以获得用于处置资产漏洞的漏洞防御策略。通过与所述漏洞标识相关联的资产标识，以及在前述某些情形下所必要的设备标识，可以获知需向哪个网络设备发送解析后的所述漏洞防御策略，以及用于防御所述网络设备的哪个资产中的漏洞。在一些情形下，分析和防御单元210还可以基于与所述网络设备对应的网络拓扑信息，向与所述网络设备相关的一个或多个转发设备发送解析playbook脚本后获得的用于防御漏洞的漏洞防御策略，所述转发设备例如可以是与所述网络设备相关的网络安全设备212。所述主机设备214或网络安全设备212基于接收的所述漏洞防御策略执行相应的防御操作。

在一种可能的实现方式中，分析和防御单元210也可以不解析所述playbook脚本，而是直接发送到相应的所述主机设备214或网络安全设备212，由所述主机设备214或网络安全设备212对所述playbook脚本进行解析，以执行相应的漏洞防御策略，保障网络系统的运行安全。

在其他可能的实现方式中，漏洞管理设备204先向网管系统202发送用于修复一个或多个安全漏洞的playbook脚本，然后由网管系统202向主机设备214或网络安全设备212发送所述playbook脚本，或者由网管系统202向主机设备214或网络安全设备212发送解析所述playbook脚本后生成的漏洞防御策略；或者，漏洞管理设备204并不独立于网管系统202存在，而是作为网管系统202的组成部分集成其中，用于实现相应的漏洞分析和防御功能；或者，漏洞管理设备204也可以集成在网络的其他设备或系统中。

图3为本申请实施例提供的一种安全漏洞防御方法300的流程示意图，所述方法300例如可以由图2中的漏洞管理设备204执行，或者由网管系统202或其他网络设备中集成的能够实现相应漏洞防御功能的设备或单元执行等。所述方法300包括以下内容。

S305，漏洞管理设备获取第一网络设备的资产的资产信息，所述资产信息包括资产标识、资产型号和资产版本，所述第一网络设备位于受控网络范围内。

在一种可能的实现方式中，漏洞管理设备204获取网络设备中相关资产的资产信息。所述网络设备的资产的资产信息可以由所述网络设备自身获取，也可以由网络中的其他设备获取。对于从所述其他设备获取的情形，例如，当所述网络设备为主机设备214时，与主机设备214相关的其他设备，如转发设备，可以通过读取和分析需向主机设备214发送的数据报文等，发现主机设备214上的资产对应的资产信息。所述网络设备例如可以是图2示出的网络安全设备212或主机设备214。以一台主机设备214为例，其上可能包括一个需要进行漏洞防御的关键资产，所述资产可以用对应的资产信息进行描述，所述资产信息可以包括资产标识、资产型号和资产版本。可选地，所述资产信息也可包括其他类型的信息，只要能够用足够维度的信息区分不同的资产即可，具体包括哪些信息可根据实际应用场景确定。一个主机设备214上也可以包括多个资产，此时漏洞管理设备204需要获取分别与所述多个资产对应的多组资产信息。

所述资产标识用于标识不同的资产，以向相应网络设备针对性地快速下发资产漏洞防御策略。例如，所述资产标识为全局资产标识，所述全局资产标识在所述受控网络范围内是唯一。在一种可能的实现方式中，所述全局资产标识包括所述第一网络设备的设备标识。再例如，所述资产标识为局部资产标识，所述局部资产标识在所述第一网络设备内是唯一的。当一个网络设备中具有需要进行漏洞防御的多个资产时，漏洞管理设备204能够获取分别对应于多个资产的多个资产信息。所述网络设备的设备标识例如可以是设备ID、设备的网际协议(英文：Internet Protocol，IP)地址或媒体存取控制(英文：Media Access Control，MAC)地址等。所述设备标识可以由网络安全设备212或主机设备214发送，也可以由网管系统202根据接收所述资产信息时的发送方信息确定并添加。

S310，所述漏洞管理设备基于所述资产信息中的资产型号和资产版本，获取与所述资产信息对应的漏洞信息。

漏洞管理设备204的分析和防御单元210可以基于所述网络设备的资产与漏洞之间的对应关系，确定所述网络设备中所述资产的一个或多个需要防御的漏洞。具体地，资产和漏洞对应库206中可以存储<资产型号，资产版本>的组合与漏洞之间的对应关系，所述对应关系可以是一对一的关系，也可以是一对多的关系，即一个<资产型号，资产版本>组合对应于多个漏洞。所述<资产型号，资产版本>组合与漏洞之间的对应关系的表达形式可以是<资产型号、资产版本——漏洞标识1，……，漏洞标识N>，N表示所述资产信息对应的漏洞个数，所述漏洞标识用于唯一的标识某个资产中的某种漏洞。在其他可能的实现方式中，所述漏洞信息也可以用其他数据表示，如漏洞类型、漏洞名称等，只要能够区别性的表示不同类型的漏洞即可。

对于所述网络设备发送的信息为所述资产信息的情形，分析和防御单元210可以进一步通过确定发送所述资产信息的所述网络设备的设备标识，确定网络中具有所述设备标识的网络设备的资产具有相应ID编号的漏洞。

分析和防御单元210可以基于获取的<资产型号，资产版本>组合与漏洞之间的对应关系<资产型号、资产版本——漏洞标识1，……，漏洞标识N>，以及所述资产信息中资产标识与<资产型号，资产版本>直接的对应关系，关联建立<资产标识——漏洞标识1，……，漏洞标识N>之间的对应关系。由于资产标识至少可以区分地标识同一设备的不同资产，因此可以基于发送所述资产信息的网络设备的设备标识，以及所述资产信息的资产标识与一个或多个漏洞标识之间的对应关系，确定与所述网络设备的资产对应的一个或多个漏洞。或者，对于所述资产标识为包括设备标识的全局资产标识时，分析和防御单元210可以直接基于所述全局资产标识确定与所述网络设备的资产对应的一个或多个漏洞，而无需再单独获取所述网络设备的设备标识。

对于不同资产中多个漏洞的种类实际相同的情形，可以结合实际场景为所述多个漏洞设置相同的漏洞标识，例如当确定针对所述多个漏洞的安全防御策略完全相同时，以此节约存储空间，提高存储效率；也可以为所述多个漏洞设置不同的漏洞标识，例如当所述多个漏洞的种类虽然相同，但在不同资产中采取的相应防御策略并不相同时；或者即使防御策略相同，但为了实现相应的防御策略而执行的具体操作步骤不同时；再或者即使防御策略和相应的执行步骤等均实质相同，但处于便于管理和执行等目的，仍可以为分别属于不同资产的多个同种漏洞设置不同的漏洞标识。

需要说明的是，当所述网络设备上需进行漏洞防御的资产具有多个时，与所述网络设备关联的资产信息与漏洞信息之间的对应关系具有多组。

在一种可能的实现方式中，所述资产信息与漏洞之间的对应关系库可由第三方提供和维护，可以存储在云端或其他网络设备上以供漏洞管理设备204调用。

S315所述漏洞管理设备确定与所述漏洞信息对应的漏洞响应剧本playbook，所述漏洞响应playbook用于被解析后执行对所述第一网络设备的漏洞防御策略。

可选地，漏洞管理设备204为每个漏洞标识分别建立对应的漏洞响应playbook。所述漏洞标识与漏洞响应playbook之间的对应关系可以保存在漏洞响应playbook单元208。所述漏洞标识与漏洞响应playbook之间的对应关系可以是一对一的关系，也可以是一对多的关系，例如用于处置一个漏洞的防御策略有多个，而所述多个防御策略编排在多个playbook脚本中，或者也可以是多对一的关系，例如对于多种漏洞的处置防御策略均实质相同，此时可以将多个处置防御策略相同的漏洞标识均指向同一个playbook脚本，以节约存储空间。

在一种可能的实现方式中，分析和防御单元210通过读取资产和漏洞对应库206中存储的资产信息和漏洞标识之间的对应关系<资产型号、资产版本——漏洞标识1，……，漏洞标识N>，以及读取漏洞响应playbook单元208中存储的漏洞标识和playbook之间的对应关系，分析确定用于应急防御当前所分析资产中一个或多个漏洞的playbook脚本，并通过确定所述资产对应的所述网络设备的设备标识，确定将所述playbook脚本应用于所述设备标识所指示的所述网络设备。在另一种可能的实现方式中，分析和防御单元210通过读取资产和漏洞对应库206中存储的包括所述设备标识的全局资产标识和漏洞标识之间的对应关系<资产标识——漏洞标识1，……，漏洞标识N>，以及读取漏洞响应playbook单元208中存储的漏洞标识和playbook之间的对应关系，确定用于应急防御当前全局资产标识所对应资产中一个或多个漏洞的playbook脚本。

需要说明的是，当所述网络设备上需进行漏洞防御的资产具有多个时，分别确定用于防御每一个资产的一个或多个漏洞的playbook脚本。

在一种可能的实现方式中，分析和防御单元210可以基于所述网络设备的网络拓扑信息，确定需要应用所述playbook脚本执行漏洞防御策略的、与所述网络设备相关的一个或多个转发设备。分析和防御单元210可以基于所述资产对应的漏洞类型，确定用于执行漏洞防御策略的playbook脚本的发送对象是所述网络设备、与所述网络设备相关的转发设备、还是包括两者的全部。

在一种可能的实现方式中，所述漏洞标识与漏洞响应playbook脚本之间的对应关系，以及playbook的具体编排内容可由第三方提供和维护，也可以存储在云端或其他网络设备上以供漏洞管理设备204调用。所述playbook脚本用于解析后执行对所述网络设备资产的漏洞防御。

可选地，在本申请的另一实施例中，所述方法300还包括以下内容：

S320所述漏洞管理设备解析所述漏洞响应playbook得到所述漏洞防御策略，向所述网络设备发送所述漏洞防御策略。

在确定用于所述网络设备资产中一个或多个漏洞防御的一个或多个playbook脚本后，漏洞管理设备204解析所述一个或多个playbook脚本，以确定用于防御所述网络设备资产中的漏洞的一个或多个防御策略，并向所述网络设备或与所述网络设备相关的转发设备发送所述一个或多个防御策略以执行。

可选地，在本申请的另一实施例中，可以不执行S320，而是作为替代执行S325，所述S325包括以下内容：

S325向所述网络设备或与所述网络设备相关的转发设备发送所述playbook脚本。

在此种情形下，漏洞管理设备204不执行所述playbook的解析操作，而是向相应的所述网络设备发送所述playbook的脚本，由所述网络设备侧执行所述脚本的解析操作，并按照解析后的漏洞防御策略执行相应操作。

本申请实施例还提供了一种漏洞管理设备400，如图4所示。所述设备400包括第一获取单元405、第二获取单元410和漏洞响应单元415。所述设备400例如可以是图2示出的漏洞管理设备204，或者是网管系统202或其他网络系统中集成的、能够实现相应漏洞防御功能的设备或单元等。

所述第一获取单元405，用于获取第一网络设备的资产的资产信息，所述资产信息包括资产标识、资产型号和资产版本，所述第一网络设备位于受控网络范围内。

所述资产信息例如可以从主机设备214和/或网络安全设备212获取。在一些可能的实现方式中，还可以一并获取与所述资产信息对应的设备标识。

所述第二获取单元410，用于基于所述资产信息中的资产型号和资产版本，获取与所述资产信息对应的漏洞信息。

所述资产信息和所述漏洞信息之间的对应关系可以保存在资产和漏洞对应库中，所述对应库可以保存在所述设备400内部，如图2示出的资产和漏洞对应库206，也可以保存在第三方设备中或者云端服务器等。所述资产和漏洞对应库可以由第三方负责更新和维护。第二获取单元410基于第一获取单元获取的所述资产信息，读取调用预先保存的资产信息和所述漏洞信息之间的对应关系，以获取与所述资产信息对应的所述漏洞信息。

第一确定单元415，用于确定与所述漏洞信息对应的漏洞响应剧本playbook，所述漏洞响应Playbook用于被解析后执行对所述第一网络设备的漏洞防御策略。

所述漏洞信息与所述漏洞响应playbook之间的对应关系可以保存在所述系统400内部，如图2示出的漏洞响应playbook单元208中，也可以保存在第三方设备中或者云端服务器等。各个所述漏洞信息与所述漏洞响应playbook之间的对应关系可以由第三方负责更新和维护。所述playbook用于编排针对所述网络设备资产的所述漏洞执行的漏洞防御策略脚本。

在一种可能的实施方式中，所述第二获取单元410获取与所述资产信息对应的漏洞信息，包括基于所述资产信息中所述资产型号和资产版本，在资产型号和资产版本的组合与漏洞信息的对应关系中，查找到与所述资产信息中所述资产型号和资产版本对应的漏洞信息。

在一种可能的实施方式中，所述第一确定单元415确定与所述漏洞信息对应的漏洞响应剧本playbook，包括：基于所述资产标识和漏洞信息的对应关系，以及所述漏洞信息和所述漏洞响应playbook的对应关系，确定所述资产信息中的所述资产标识对应的所述漏洞响应playbook；将确定出的所述漏洞响应playbook作为所述与所述漏洞信息对应的漏洞响应playbook。

所述第二获取单元410基于所述资产型号和资产版本的组合与漏洞信息的对应关系，以及所述资产信息中所述资产标识、资产型号和资产版本，确定所述资产标识和漏洞信息的对应关系。

在一种可能的实现方式中，所述设备400还可以包括解析单元420和发送单元425，所述解析单元420用于解析所述漏洞响应playbook得到所述漏洞防御策略。所述发送单元425，用于基于与所述资产信息中的所述资产标识，向网络设备发送所述漏洞防御策略，以使得所述网络设备执行所述漏洞防御策略。所述资产标识可以是全局资产标识，也可以是局部资产标识。所述网络设备可以是例如图2示出的主机设备214、或网络安全设备212、或者与主机设备214或网络安全设备212相关的转发设备等。

在一种可能的实施例中，所述第一获取单元405和第二获取单元410可以是同一个获取单元，并用于执行所述单元405和410的相应功能。

本申请实施例还提供了一种漏洞管理设备500的结构示意图。所述设备500包括处理器501、存储器502和网络接口503。所述设备500例如可以是图2示出的漏洞管理设备204，或者图4示出的漏洞管理设备400。

网络接口503，用于接收来自网络设备的信息和/或向网络设备发送需要的信息。网络接口503可以将从网络接收到的信息发送给处理器501和/或存储器502，也可以向网络发送由处理器501处理或生成的信息。所述信息例如是资产的资产信息，或者playbook脚本等。网络接口503可以是有线接口，例如光纤分布式数据接口(Fiber Distributed Data Interface，FDDI)、千兆以太网(Gigabit Ethernet，GE)接口；网络接口503也可以是无线接口。

存储器502，用于存储计算机程序和数据。存储器502包括但不限于是随机存取存储器(random access memory，RAM)、只读存储器(Read only Memory，ROM)、可擦除可编程只读存储器(erasable programmable read-only memory，EPROM或者快闪存储器)、快闪存储器、或光存储器等。存储器502中保存有操作系统的代码。

处理器501可以是一个或多个CPU，该CPU可以是单核CPU，也可以是多核CPU。处理器501用于读取存储器502中存储的所述计算机程序和数据，并根据所述指令和数据执行前述实施例描述的安全漏洞防御方法300。

本申请实施例还提供一种计算机可读存储介质，所述存储介质上存储有计算机程序，所述计算机程序用于执行前述实施例描述的安全漏洞防御方法300。

应理解，在本申请的各种实施例中，除通过文字描述明确指定外，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块及方法步骤，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。这些功能究竟以何种实现方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用使用相应的方法来实现所描述的功能。例如，当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。

所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、双绞线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质、或者半导体介质(例如固态硬盘Solid State Disk，(SSD))等。

本说明书的各个部分均采用递进的方式进行描述，各个方法和系统实施例之间相同相似的部分互相参见即可。尤其，对于部分系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例部分的说明即可。

上述实施例仅用以说明本申请的技术方案，而非对其限制。尽管参照上述实施例对本申请进行了详细的说明，本领域的普通技术人员还应当理解的是：任何基于对上述各实施例所记载的技术方案进行的改动、变形、或者对其中部分技术特征进行的等同替换均应属于本申请各实施例技术方案的范围。

Claims

一种安全漏洞防御方法，其特征在于，所述方法包括：

漏洞管理设备获取第一网络设备的资产的资产信息，所述资产信息包括资产标识、资产型号和资产版本，所述第一网络设备位于受控网络范围内；

所述漏洞管理设备基于所述资产信息中的资产型号和资产版本，获取与所述资产信息对应的漏洞信息；

所述漏洞管理设备确定与所述漏洞信息对应的漏洞响应剧本playbook，所述漏洞响应playbook用于被解析后执行对所述第一网络设备的漏洞防御策略。
如权利要求1所述的方法，其特征在于，所述获取与所述资产信息对应的漏洞信息，包括：

所述漏洞管理设备基于所述资产信息中所述资产型号和资产版本，在资产型号和资产版本的组合与漏洞信息的对应关系中，查找到与所述资产信息中所述资产型号和资产版本对应的漏洞信息；

所述漏洞管理设备基于所述资产型号和资产版本的组合与漏洞信息的对应关系，以及所述资产信息中所述资产标识、资产型号和资产版本，确定所述资产标识和漏洞信息的对应关系。
如权利要求2所述的方法，其特征在于，所述漏洞管理设备确定与所述漏洞信息对应的漏洞响应剧本playbook，包括：

所述漏洞管理设备基于所述资产标识和漏洞信息的对应关系，以及所述漏洞信息和所述漏洞响应playbook的对应关系，确定所述资产信息中的所述资产标识对应的所述漏洞响应playbook；

将确定出的所述漏洞响应playbook作为所述与所述漏洞信息对应的漏洞响应playbook。
如权利要求1至3任一所述的方法，其特征在于，所述方法还包括：

所述漏洞管理设备解析所述漏洞响应playbook得到所述漏洞防御策略；

所述漏洞管理设备基于与所述资产信息中的所述资产标识，向所述第一网络设备发送所述漏洞防御策略，以使得所述第一网络设备执行所述漏洞防御策略。
如权利要求4所述的方法，其特征在于，所述资产信息中的所述资产标识为全局资产标识，所述全局资产标识包括所述第一网络设备的设备标识，所述全局资产标识在所述受控网络范围内是唯一的，所述向所述第一网络设备发送所述漏洞防御策略之前，所述方法还包括：

所述漏洞管理设备从所述全局资产标识中获取包括的所述第一网络设备的设备标识；

所述向所述第一网络设备发送所述漏洞防御策略，具体为：根据所述第一网络设备的设备标识，向所述第一网络设备发送所述漏洞防御策略。
如权利要求1至3任一所述的方法，其特征在于，所述方法还包括：

所述漏洞管理设备解析所述漏洞响应playbook得到所述漏洞防御策略；

向与所述第一网络设备相关的转发设备发送所述漏洞防御策略，以使得与所述第一网络设备相关的转发设备执行所述漏洞防御策略。
如权利要求6所述的方法，其特征在于，所述向与所述第一网络设备相关的转发设备发送所述漏洞防御策略之前，所述方法还包括：

所述漏洞管理设备获取所述第一网络设备的设备标识，以及所述受控网络的网络拓扑信息；

所述漏洞管理设备基于所述网络拓扑信息，确定所述与所述第一网络设备相关的转发设备。
如权利要求7所述的方法，其特征在于，所述漏洞管理设备获取所述第一网络设备的设备标识，具体为：

所述漏洞管理设备基于所述资产信息中的所述资产标识，获取所述第一网络设备的设备标识，其中，

所述资产标识为全局资产标识，所述全局资产标识包括所述第一网络设备的所述设备标识，并且所述全局资产标识在所述受控网络范围内是唯一的，所述漏洞管理设备基于所述全局资产标识获取所述第一网络设备的所述设备标识，或者，所述资产标识为局部资产标识，并且所述局部资产标识在所述第一网络设备内是唯一的，所述漏洞管理设备基于所述局部资产标识和设备标识的对应关系，获取所述第一网络设备的设备标识。
如权利要求1-8任一所述的方法，其特征在于，所述漏洞防御策略包括基于访问控制列表ACL的访问控制策略、基于特征串的正则过滤策略、和/或入侵防护系统IPS防护签名策略。
一种漏洞管理设备，其特征在于，所述设备包括：

第一获取单元，用于获取第一网络设备的资产的资产信息，所述资产信息包括资产标识、资产型号和资产版本，所述第一网络设备位于受控网络范围内；

第二获取单元，用于基于所述资产信息中的资产型号和资产版本，获取与所述资产信息对应的漏洞信息；

第一确定单元，用于确定与所述漏洞信息对应的漏洞响应剧本playbook，所述漏洞响应Playbook用于被解析后执行对所述第一网络设备的漏洞防御策略。
如权利要求10所述的漏洞管理设备，其特征在于，所述第二获取单元获取与所述资产信息对应的漏洞信息，包括：

基于所述资产信息中所述资产型号和资产版本，在资产型号和资产版本的组合与漏洞信息的对应关系中，查找到与所述资产信息中所述资产型号和资产版本对应的漏洞信息；

基于所述资产型号和资产版本的组合与漏洞信息的对应关系，以及所述资产信息中所述资产标识、资产型号和资产版本，确定所述资产标识和漏洞信息的对应关系。
如权利要求11所述的漏洞管理设备，其特征在于，所述第一确定单元确定与所述漏洞信息对应的漏洞响应剧本playbook，包括：

基于所述资产标识和漏洞信息的对应关系，以及所述漏洞信息和所述漏洞响应playbook的对应关系，确定所述资产信息中的所述资产标识对应的所述漏洞响应playbook；

将确定出的所述漏洞响应playbook作为所述与所述漏洞信息对应的漏洞响应playbook。
如权利要求10至12任一所述的漏洞管理设备，其特征在于，所述设备还包括：

解析单元，用于解析所述漏洞响应playbook得到所述漏洞防御策略；

发送单元，用于基于与所述资产信息中的所述资产标识，向所述第一网络设备发送所述漏洞防御策略，以使得所述第一网络设备执行所述漏洞防御策略。
如权利要求13所述的漏洞管理设备，其特征在于，所述资产信息中的所述资产标识为全局资产标识，所述全局资产标识包括所述第一网络设备的设备标识，所述全局资产标识在所述受控网络范围内是唯一的，所述发送单元向所述第一网络设备发送所述漏洞防御策略之前，所述设备还包括：

所述第一获取单元从所述全局资产标识中获取包括的所述第一网络设备的设备标识；

所述发送单元用于根据所述第一网络设备的设备标识，向所述第一网络设备发送所述漏洞防御策略。
如权利要求10至12任一所述的设备，其特征在于，所述漏洞管理设备还包括：

解析单元，用于解析所述漏洞响应playbook得到所述漏洞防御策略；

发送单元，用于向与所述第一网络设备相关的转发设备发送所述漏洞防御策略，以使得与所述第一网络设备相关的转发设备执行所述漏洞防御策略。
如权利要求15所述的设备，其特征在于，

所述第一获取单元还用于所述发送单元向与所述第一网络设备相关的转发设备发送所述漏洞防御策略之前，获取所述第一网络设备的设备标识，以及所述受控网络的网络拓扑信息；

所述漏洞管理设备还包括：第二确定单元，用于基于所述网络拓扑信息，确定与所述第一网络设备相关的所述转发设备。
如权利要求16所述的设备，其特征在于，所述第一获取单元获取所述第一网络设备的设备标识，具体为：

基于所述资产信息中的所述资产标识，获取所述第一网络设备的所述设备标识，其中，

所述资产标识为全局资产标识，所述全局资产标识包括所述第一网络设备的所述设备标识，并且所述全局资产标识在所述受控网络范围内是唯一的，所述第一获取单元基于所述全局资产标识获取所述第一网络设备的所述设备标识，或者，所述资产标识为局部资产标识，并且所述局部资产标识在所述第一网络设备内是唯一的，所述第一获取单元基于所述局部资产标识和所述设备标识的对应关系，获取所述第一网络设备的所述设备标识。
一种漏洞管理设备，其特征在于，包括处理器和存储器，所述存储器用于存储计算机程序，所述处理器用于调用存储器中存储的计算机程序，执行如权利要求1-9任一所述的方法。
一种计算机可读存储介质，其特征在于，所述存储介质上存储有计算机程序，所述计算机程序用于执行权利要求1-9任一所述的方法。